Rookit

Rookit系列二【文件隐藏】【支持Win7 x32/x64 ~ Win10 x32/x64平台的NTFS文件系统】

文章目录前言探究代码演示前言文件隐藏的方法有很多,这里分享的是一种通过内核文件重定向的方式动态规避检测的方法。举例:假设有一个安全软件A,A要扫描文件B,B是我们想要隐藏的文件。那么我们在内核中将A打开文件B的操作重定向到打开文件C,文件C我们设置为一个系统原有且自带微软签名的文件,这样文件B就躲过了A的扫描。等同于文件B对于安全软件A来说就是隐藏的。探究现在几乎所有的安全软件对于文件监控都是基于
飞鸿踏雪(蓝屏选手)·2023-11-12 03:33

Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】

文章目录Rookit系列一【隐藏网络端口】【支持Win7x32/x64~Win10x32/x64】前言探究隐藏网络端口netstat分析隐藏网络端口的原理关键数据结构隐藏网络端口源码效果演示Rookit
飞鸿踏雪(蓝屏选手)·2023-08-17 19:01

Linux权限维持方法论

Linux权限维持方法论1.创建超级用户2.SUID后门权限维持3.Strace监听后门4.rookit后门1.创建超级用户例如:创建一个用户名guest,密码123456的root用户useradd-p
世界尽头与你·2023-06-19 21:21

谁入侵了我的主机?

本篇是第九期,讲述了某游戏厂商被入侵后植入rookit木马,黑客隐藏掉了自己的访问足迹,在多台主机上留下后门,来去自如。客户已经大概知道它从哪里攻进来,但就是没办法把它请出去。
·2023-01-11 18:32

瑞星的“屁股”与“软肋”

其实,这个事儿,满眼都是技术词汇,什么漏洞、后门、代码,还有什么anti-rookit。说来说去,360和瑞星,都是攻击对方产品差,自己产品好;对方不负责任,自己是好公民。你信谁啊?
wangk1026·2020-08-25 08:10

linux入侵控制与痕迹清理

后门(1)开机自动反弹shell(2)linux后门Rookit目前常用的有:t0rn/mafix/enyelkm等mafixrootkitMafix是一款常用的轻量应用级别Rootkits,是通过伪造
abg49988·2020-08-17 11:27

后渗透篇:linux入侵控制与痕迹清理

(1)开机自动反弹shell(2)linux后门Rookit目前常用的有:t0rn/mafix/enyelkm等mafixrootkitMafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh
Agan '·2020-08-11 11:07

HShield游戏保护的对抗和新的问题

转自bujin888第一个版本HShield反外挂方式应该向进程插入他们的反外挂钩子拦截我们做外挂的必要函数我当时突破方法是ROOKIT技术,隐藏进程!
ArtX·2020-08-03 12:04

linux-后门入侵检测工具-chkrootkit

Rookit简介:rootkit是Linux平台常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。
renIT87·2016-02-26 13:39

linux-后门入侵检测工具-chkrootkit

Rookit简介:rootkit是Linux平台常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。
renIT87·2016-02-26 13:26

手把手教你写LKM rookit! 之 杀不死的pid&root后门

......上一节,我们编写了一个基本的lkm模块,从功能上来说它还没有rootkit的特征,这次我们给它添加一点有意思的功能.我们让一个指定的进程杀不死,     曾经,想写一个谁也杀不死的进程,进程能捕捉到SIGTERM,就是kill默认发送的signal,能捕捉到SIGINT,你平时按下Ctrl-C就是这个操作,但是无论如何你也无法阻止, SIGKILL,及终极杀人王
·2015-11-11 09:54

手把手教你写LKM rookit! 之 第一个lkm程序及模块隐藏(一)

  唉,一开始在纠结起个什么名字,感觉名字常常的很装逼,于是起了个这《手把手教你写LKM rookit》   我觉得: 你们觉得:。。。。。。
·2015-11-11 09:53

近期计划

近段时间anti-rookit 比较火爆。。。。我也想做个“山寨”的anti rookit Tool, 练练手 。。。      大体规划下功能。。。
·2015-11-11 03:24

系统底层ROOKIT拦截网络数据

#include "ntddk.h" // important!! place this before ndis.h#define NDIS40 1 #include "ndis.h"#include "stdio.h" //////////////////////////////////////////////// pr
·2015-10-21 11:26

LINUX命令

组件:  main  restricted  universe  multiverselilo grubgrub2dpkgaptaptitude Dselectrpmyumrookit:    应用层ROOKIT
mrduanpeng·2015-06-02 19:00

android rookit

http://netsecurity.51cto.com/art/201207/346619.htm
lhj0711010212·2013-03-29 16:00

系统底层ROOKIT拦截网络数据

#include"ntddk.h"//important!!placethisbeforendis.h#defineNDIS40 1#include"ndis.h"#include"stdio.h"////////////////////////////////////////////////prototypesforallournetworkcallbacks//////////////////
junwong·2012-03-09 16:00

系统底层ROOKIT拦截网络数据

#include"ntddk.h"//important!!placethisbeforendis.h#defineNDIS40 1#include"ndis.h"#include"stdio.h"////////////////////////////////////////////////prototypesforallournetworkcallbacks//////////////////
junwong·2012-03-09 16:00

Rookit技术基础(3)

.端口隐藏 很多人检查自己中没中木马或后门,都会一些方法来查看自己本机所开的端口来判断是否有木马监听,而有些rootkit就开始想如何隐藏端口了。 最 简单的枚举当前所开放的端口信息是调用iphlpapi.dll中的AllocateAndGetTcpTableFromStack和 AllocateAndGetUdpTableFromStack函数,或者AllocateAndGetTcpExTabl
wodamazi·2011-11-05 10:00

bios rookit走向前台

 新鬼影病毒主要通过假冒游戏外挂和电影播放器传播,其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定为www.my2345.cc,杀毒软件反复报毒(因病毒母体会下载盗号木马)。即使格式化重装,这些现象依旧不能解决。    新鬼影病毒可以改写特定型号主板BIOS,这很容易让人联想到Windows95时代流行的CIH病毒,当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全
jecray·2011-09-07 21:00

在Linux下用gdb检测内核rootkit

理解攻击向量内核rookit通常以系统调用为攻击目标,主要出于两个原因:a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西;b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺骗
menglin·2010-08-14 09:04

在Linux下用gdb检测内核rootkit

理解攻击向量内核rookit通常以系统调用为攻击目标,主要出于两个原因:a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西;b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺骗
menglin·2010-08-14 09:04

瑞星的“屁股”与“软肋”

其实,这个事儿,满眼都是技术词汇,什么漏洞、后门、代码,还有什么anti-rookit。说来说去,360和瑞星,都是攻击对方产品差,自己产品好;对方不负责任,自己是好公民。   你信谁啊?
康斯坦丁K·2010-02-04 16:28

系统底层ROOKIT拦截网络数据

#include "ntddk.h" // important!! place this before ndis.h#define NDIS401 #include "ndis.h"#include "stdio.h" //////////////////////////////////////////////// prototyp
winzenghua·2009-06-26 11:00

系统底层ROOKIT拦截网络数据

#include"ntddk.h"//important!!placethisbeforendis.h#defineNDIS40 1#include"ndis.h"#include"stdio.h"////////////////////////////////////////////////prototypesforallournetworkcallbacks//////////////////
yincheng01·2009-06-26 11:00

饶过现代Anti-Rookit工具的内核模块扫描(ZT)

饶过现代Anti-Rookit工具的内核模块扫描(Bypass modern anti-rootkit tools's kernel mode scan)[email protected]
酒水不犯茶水·2007-12-27 21:00

Linux下用gdb检测内核rootkit

内核rookit通常以系统调用为攻击目标,主要出于两个原因:a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西;b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺
linkboy·2007-12-01 20:00

Linux下用gdb检测内核rootkit

内核rookit通常以系统调用为攻击目标,主要出于两个原因:a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西;b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺
linkboy·2007-12-01 20:00

打不开的计算器

难道是有rookit?打开资源管理器,查看%systemroot%\system32下,查看calc.exe和其他机器对比,没有
ttyp·2007-09-27 12:00

我怕故我知

PCI的rookit。如果你能听懂我在说什么,并且你的电脑已经成为你做理财时不可缺少的一部分。那我想你一定会坐立不安。因此如果你听不懂我在说什么,我想最好的方法就是去google一下。
weibo·2007-08-26 12:00

我怕故我知

PCI的rookit。如果你能听懂我在说什么,并且你的电脑已经成为你做理财时不可缺少的一部分。那我想你一定会坐立不安。因此如果你听不懂我在说什么,我想最好的方法就是去google一下。
weibo·2007-08-26 12:00

HShield游戏保护的对抗和新的问题

转自bujin888第一个版本        HShield反外挂方式应该向进程插入他们的反外挂钩子  拦截我们做外挂的必要函数        我当时突破方法是ROOKIT技术,隐藏进程!
ArtX·2007-05-17 16:00

04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版

endurer原创2007-04-01第2版补充了Kasersky对一些可疑文件的反应2007-04-01第1版前两天,一位网友的电脑的瑞星报告发现RootKit.Agent.va,文件名为ynqcq.sys,但清除不了,又使用一个木马查杀软件发现有广告程序,因为是未注册,无法清除。瑞星的登录前扫描对付rootkit是不错的,可惜这位网友使用了自动登录Windows……用pe_xscan扫描日志,
Purpleendurer·2007-04-01 15:00

从Sony招回含疑似间谍软件的CD说起

面对消费者日益严重的不满,SonyBMG害怕自己的正版音乐产品受到版权保护“后门”的影响,于今天宣布撤回商店货架内所有涉及Rookit软件的CD产品,并为消费者提供免费的非DRM版CD更换。
jiangsheng·2005-11-16 00:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他